互联网金融:十大信息安全风险与十大最佳安全实践

者按:中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》显示,2014年中国网民规模6.49亿,手机网民5.57亿。其中使用网上支付的用户规模达3.04亿,手机支付用户规模达到2.17亿,2014年也被认为是中国互联网金融元年。作为一项金融创新,随着大家对互联网金融关注的提升和其本身规模的不断壮大,互联网金融发展形成了第三方支付、P2P网贷、大数据金融、众筹、信息化金融机构、互联网金融门户等多种模式。据媒体报道称,中国的互联网金融市场规模已是世界第一。与此同时,国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。

十大信息安全风险

互联网金融中金融信息的风险和安全问题,主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱,不良虚假金融信息的传播、移动金融威胁逐渐显露等十个方面。 1、有组织有目的性的金融网络犯罪集团兴起 攻击者由过去的单兵作战,无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖,到伪卡制卡,甚至网银木马的量身定制,在网络上都能找到相应的服务提供商,并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。 2、DDoS攻击 DDoS攻击是目前最有效的一种网络恶意攻击形式,近期的个案显示不同规模的银行正面临不同形式的DDoS攻击,这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击,以及针对更加难以防御的应用层DDOS攻击。 3、互联网业务支撑系统自身安全漏洞 当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞,漏洞的爆发直接导致国内的多家银行遭受恶意攻击。 4、病毒木马 目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新,通过盗取客户资料,直接威胁网银安全,用户如果未对其计算机安装相应的木马查杀软件,就非常容易被感染。 5、信息泄露 在互联网环境下,交易信息通过网络传输,一些交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,大大加剧了信息泄露风险。 6、网络钓鱼 虽然金融机构对钓鱼网站带来的金融信息危害极其重视,但大量钓鱼网站都建立在海外的网络空间,因而加大了安全监管的难度。 7、移动威胁 移动金融信息风险,主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱,给用户造成了严重的经济损失,同时也为移动金融的发展造成阻碍。 8、APT攻击 由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。 9、外包风险 互联网金融业务外包服务管理不到位,将给服务机构带来数据泄密的风险,这种案例在国内曾发生过多起。 10、内控风险 互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关,该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。

十大信息安全最佳实践

基于互联网技术发展起来的互联网金融,其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护,特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击,当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此,安恒信息结合行业观察以及相关实践,建议互联网金融企业进行以下安全建设,以长期保证金融系统的信息安全。 1、制定行业标准 重点防范互联网金融可能出现的系统性风险,而且要坚持线上线下一致性的原则,要注重法律法规的有效衔接,不断地完善相关的监管制度。同时政府应该有一个统一的分类,并按类别制定互联网金融信息安全行业标准,指导各企业进行相应的信息安全建设和安全运维管理,提高互联网金融企业的安全准入门槛。 2、加大信息安全投入 互联网金融企业应加大对信息安全技术的投资力度,应结合安全开发、安全产品、安全评估、安全管理等多个方面,从整个信息系统生命周期(ESLC)的角度来实现互联网金融长期有效的安全保障。对于已经在线的生产系统,当务之急则是采用防火墙、数据库审计、数据容灾等多种手段提升对用户和数据的安全保障能力。 3、增强APT防护能力 加入APT防护控制手段,加固环境,考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。 4、加强信息系统的审计与风险控制 对越来越庞大的金融信息系统部署运维审计与风险控制系统,通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强金融信息系统运维管理的安全性。 5、采用自主可控的产品和技术 以防范阻止、检测发现、应急处置、审计追踪、集中管控等为目的,研究适合自身信息系统特点的安全保护策略和机制;开展安全审计、强制访问控制、系统结构化、多级系统安全互联访问控制、产品符合性检验等相关技术;研发用于保护重点信息系统的安全计算环境、安全区域边界、安全通信网络和安全管理中心的核心技术产品;研发自主可控的计算环境、操作系统、中间件、数据库等基础产品,实现对国外软硬件的替代;建设模拟仿真测试环境,通过可靠的测试技术和测试工具实现对信息系统的安全检测,确保降低信息系统使用过程中发生的安全事件。 6、突出保护重点系统 对需要保护的信息资产进行详细梳理,以整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中。 7、核心安全建设由可信队伍建设 对我国的金融信息系统进行核心安全建设和保障的机构,应具备专业信息安全服务能力及应急响应能力,这类团队需要权威认证、具有一定规模、具备专业扫描检测与渗透测试产品的安全服务能力。 8、基于大数据与云计算的解决方案 以信息安全等级保护为基础,在控制风险的基础上,充分利用云计算和大数据的优势,建立适合互联网金融自身信息系统的建设规范与信息安全管理规范,丰富已有安全措施规范,完善整体信息安全保障体系,建立云计算和数据保护的标准体系,健全协调机制,提高协同发展能力。 9、外包风险防范 实行业务外包以前,金融机构应制定外包的具体政策和标准,全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。同时在外包的过程中时刻对风险进行内部评估。 10、健全内控制度 建立直接向最高级别领导汇报的风险管理部门,独立于所有业务部门进行风险的评估、分析和审核;根据自身的业务特点建立完整的工作流程体系;根据各业务环节的风险,总体评估自身的风险特征;根据工作流程各环节的风险点,设计标准的内部控制操作方案,以有效保障每个工作环节的准确执行。

安恒信息技术有限公司(DBAPPSecurity)是中国领先的专注于信息安全产品和服务的解决方案提供商,我们曾先后为北京奥运会、上海世博会、广州亚运会、深圳大运会、世界互联网大会保驾护航,为他们提供信息安全技术保障服务。我们是应用安全和数据库安全市场的绝对领航者,是政府、公安、电信、能源、金融、教育等行业信息安全领域最值得信赖的首选品牌!

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-03-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安智客

《工业互联网典型安全解决方案案例汇编》选读

工业互联网的内涵 用于界定工业互联网的范畴和特征,明确工业互联网总体目标,是研究工业互联网的基础和出发点;工业互联网是互联网和新一代信息技术与工业系统全方位深度...

4706
来自专栏BestSDK

“律兜”开放API接口,打造智能互联网法律平台

在互联网浪潮下,“律兜”一直坚持发展创新,不断升级产品和服务,尤其是自开放其API接口,进行跨平台合作以来,“律兜”获得了前所未有的成绩,跻身于我国互联网法律行...

2964
来自专栏安恒信息

政府与国防机构已成定向攻击的重灾区

调查显示,在过去12个月内,政府与国防部门遭受定向攻击的比例(18%)最高,明显超出全球所有业务部门的平均值(12%)。此外,电信业务受到定向攻击的比...

3256
来自专栏镁客网

拔刺 | 人工智能会使哪些行业受益?

人工智能技术已经发展的越来越成熟,对人们的帮助也逐渐显现,那么我们就来看看人工智能的发展会使哪些行业受益匪浅吧。

1082
来自专栏FreeBuf

Gemalto | 2016上半年泄露级别指数调查报告

与前六个月相比,数据泄露数量和泄露的数据记录 ——数量分别增长15%和31%; ——身份和个人数据盗窃占所有数据泄露数量的64%; ——医疗保健组织占所有数据泄...

1855
来自专栏企鹅号快讯

黑客横行,全球安全系统集成市场将破百亿美元

据Markets and markets最新报告指出,2017年全球安全系统集成市场达97.6亿美元,未来五年(2022年)将成长至147.2亿美元,年复合增长...

1955
来自专栏FreeBuf

2018广受关注的20家国际网络安全公司

Gartner预测,2019年全球网络安全市场收益预期将达1240亿美元。纵观2018年,全球范围内网络安全行业的老玩家和新兴力量都实现了战略转型,描绘出了行业...

1522
来自专栏大数据文摘

小心!黑客会盯上你的飞机、汽车和厂房

1633
来自专栏FreeBuf

企业数字化转型中的网络安全建设 | FIT 2019议题前瞻「企业安全俱乐部」

在“互联网+”时代中,企业呈现出互联互通的特性,全球经济数字化转型速率不断提升,针对性的网络攻击的影响比以往任何时候都更加广泛,同时现在有很多的中小型企业进行网...

1482
来自专栏腾讯云安全的专栏

拓建云安全生态,腾讯安全将与青藤云安全达成战略合作

为进一步拓建腾讯云安全生态,腾讯安全将与青藤云安全携手,双方共同发布主机安全产品,并借助腾讯云服务生态,为行业客户提供主机安全系统解决方案。 ? 近年来,网络...

3241

扫码关注云+社区

领取腾讯云代金券